Rootkit für Android vorgeführt
Das Rootkit wurde als Loadable Kernel Module für Linux implementiert und wird auch von aktueller Antivirensoftware für Android nicht erkannt.
- Uli Ries
- Daniel Bachfeld
Die IT-Sicherheitsforscher Nicholas Percoco und Christian Papathanasiou haben auf der gerade zu Ende gegangenen Hackerkonferenz Defcon das nach eigenen Angaben erste Rootkit für Android demonstriert. Mit der Malware wollen sie belegen, wie niedrig die Hürden einer solchen Entwicklung sind und wie mächtig das Ergebnis gleichzeitig ausfällt. Android beruht auf Linux – und Rootkits für Linux sind in der Desktop-Welt keine Besonderheit. Die Mindtrick getaufte Demo-Malware ist ein Loadable Kernel Module (LKM) und kann sich vor anderen Prozessen verbergen. Das Demo-Rootkit war auf der an die Defcon-Teilnehmer übergebenen DVD enthalten.
Das Rootkit könnte beispielsweise über eine ungepatchte Lücke oder als vermeintlich legitime App auf ein Android-Gerät gelangen. Dass sich mit Schadcode verseuchte Apps tausendfach verbreiten lassen, haben vor wenigen Monaten zwei andere Forscher belegt. Einmal installiert, wird das Rootkit durch einen Anruf des infizierten Handys von einer zuvor festgelegten Nummer aktiviert. Anschließend baut es eine Verbindung zum Rechner des Angreifers auf, über die sich das Smartphone vollständig fernsteuern lässt. So kann der Angreifer etwa auf die SQLite-Datenbank des Android-Handys zugreifen und so SMS oder gespeicherte Kontakte auslesen, wie die Forscher während ihres Vortrags demonstrierten.
Auch die aktuellen, per GPS ermittelten Koordinaten des Geräts lassen sich aus der Ferne erfassen. Zudem lassen sich auch ausgehende Anrufe einleiten, ohne dass dies im Display angezeigt wird. Betrüger könnten so unbemerkt von ihnen betriebene teure Sex-Telefondienste anrufen und so auf Kosten der Opfer Umsätze generieren. Den Forschern zufolge entdeckt aktuelle Antivirensoftware für Android das Rootkit (noch) nicht.
Ob Google ein derartiges Modul über die Fernlöschfunktion unschädlich machen könnte, ist derzeit unklar; der Löschvorgang bezieht sich auf die Anwendungsebene des Systems, nicht aber auf die Kernelebene. Verhindern lasse sich eine Infektion per Loadable Kernel Module laut Peroco am einfachsten dadurch, dass Smartphone-Hersteller nur von ihnen selbst digital signierte Module zulassen würden. Auf dem von den Experten zur Demonstration verwendeten HTC-Gerät fehlte ein solcher Check offensichtlich. (dab)
